Loading presentation...
Prezi is an interactive zooming presentation

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Hálózati támadások

No description
by

Sallai Kata

on 4 April 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Hálózati támadások

Lehetséges célpontok
ICMP flooding
Szolgáltatásmegtagadásos támadások (Denial of Service-DoS)
SYN flooding
Halálra pingeléses (Ping of Death – PoD)
Hálózati támadások
SZÉCHENYI ISTVÁN EGYETEM
MŰSZAKI TUDOMÁNYI KAR
INFORMATIKA TANSZÉK
Hálózati támadások
készítette: Sallai Katalin
tárgy: Rendszerbiztonság
Győr, 2014. december 4.
Bevezetés
Rendszerbiztonság célja
rendszer rendelkezésre állását biztosítsa
Az információs technológiák térnyerése
a társadalom sokkal nagyobb mértékben támaszkodik az informatikai rendszerekre és az ezeket összekötő hálózatokra
A számítógépes bűnözők és a terroristák is új fegyverhez jutottak
céljaik elérésére egyre gyakrabban használják az Internetet
új támadási formák
nehéz védekezni
szinte lehetetlen az elkövetőket azonosítani
Szolgáltatásmegtagadásos támadások
(Denial of Service-DoS)
hálózati rétegben végrehajtott támadások
Elsődleges célpontok azok a rendszerek, amelyek megtámadásával
anyagi hasznot
remélhetnek
Ha a támadások célja
nem
a
haszonszerzés
, akkor a lehetséges célpontok száma megsokasodik...
vallási, politikai, ideológiai ok, mint motiváció
veszélybe kerülhetnek az állami infrastruktúrák és a gazdaság szereplőinek informatikai rendszerei
informatikai támadás veszélyessége
fegyverekkel végrehajtott támadás veszélyessége
Gazdasági hatások
a pénzintézetek néhány napos leállása is beláthatatlan következményekkel járhat
emberek milliói rohanhatják meg a bankfiókokat, a pénzüket féltve
Példa:.
Magyarország, kialakult pánik miatt veszélybe került pénzintézet
1997 februárjában
Postabank
néhány óra alatt mintegy 70 milliárd FT.
(a pénzintézet forrásainak egyhatoda)
Általában egy meghatározott alkalmazás vagy operációs rendszer ismert gyengeségeit, esetleg valamilyen protokoll gyengeségét használja ki
Fő célja:
hogy megakadályozza a feljogosított felhasználókat a rendszer vagy alkalmazás elérésében
a számukra fontos információk, hálózati erőforrások használatában
A kiszolgáló rendszer nagyon lelassul, gyakran elérhetetlenné válik, néha teljes egészében össze is omolhat.
Lényege:
hogy lehetőség szerint megakadályozza a célgép elérését hálózaton keresztül
a támadók nem jutnak illetéktelenül adatokhoz, nem szereznek hozzáférést a rendszerhez
Nem okoz nagy problémát, viszont nagy bosszúságot okozhat a felhasználóknak
másik, konkurens szolgáltatót fognak használni
TCP/IP alapú hálózatokban Handshake - kézfogás
SYN és ACK-adatcsomagok cserélődnek ki
SYN-Flooding-támadásnál
SYN-csomagok, amelyek hamis IP-címet viselnek
a megtámadott számítógép-rendszer megpróbál a SYN-csomagra SYN-ACK-csomaggal válaszolni
az első csomag címe hamis volt, a rendszer nem tudja ilyen címen a számítógépet elérni
csak egy bizonyos idő elteltével hagy fel a kapcsolat létrehozásának kísérletével
Ha a hamis SYN-csomagok nagy tömege érkezik -> a megtámadott számítógép az összes kapcsolódási kapacitását a SYN-ACK-csomagok reménytelen küldözgetésére fordítja -> nem lesz elérhető más rendszerek számára sem.
Védekezés
"félkész" kapcsolatok tárolására szolgáló memória megnövelése
a Syn Cookie nevű eljárás
Ping Flooding
A támadó a célszámítógépet nagy tömegű pinggel bombázza
A Ping-ek nagyságától és fajtájától függően a régebbi operációs rendszereknél összeomláshoz vezethet
a megtámadott számítógép jelentős korlátozásához vezet
annak a hálózatnak az akadályoztatásához, amelyben a megtámadott számítógép benne van
magas költségek is keletkeznek, ha a hálózati összeköttetést a létrehozott adatmennyiség szerint számolják el
A támadó szabálytalan méretű ping csomagokat küld a megtámadott gépre.
Az indokolatlanul nagy ping csomagot a rendszer nem minden esetben képes kezelni
előfordulhat, hogy komoly problémát okoz a számítógép működésében.
Védekezés
Ismert hálózati környezetben
célszerű úgy beállítani az eszközeinket, hogy azok a pingelésre válaszoljanak
Ismeretlen környezetben
viszont ma már elfogadott, hogy számítógépeink pingelésre nem reagálnak
Legegyszerűbben úgy védhetjük ki a támadást, ha a rendszer tűzfalát már így konfiguráljuk!
ICMP (Internet Control Message Protocol) az IP fontos segédprotokollja
segítségével tudatják az útválasztók egymással a csomagok továbbítása során bekövetkező hibákat, eseményeket
emellett diagnosztikai célokat is szolgál
A támadás kivitelezése során a támadó megnövelt méretű "Echo Request" csomagokat küld a célpont számára egyszerre nagyszámú végpontot használva.
A támadó végpontok számától és a rendelkezésükre álló sávszélességtől függően a célpont sávszélessége túlterhelhető.
az álatala nyújtott szolgáltatások annyira lelassulnak, hogy a normál, üzemszerű működés lehetetlenné válik.
Védekezés
nehéz, főként azért mert a támadó végpontok a hálózaton szétszórva találhatók
csomagszűréssel a hálózati forgalomból kiszűrhetők az ICMP üzenetek
teljesítményt vesz igénybe a hálózati eszközökben
az ICMP üzenetek eredeti funkciója - a hálózati problémák felderítése, a diagnosztika - nem lesz elérhető
Elosztott szolgáltatás megtagadásos támadás (Distributed Denial of Service- DDoS)
DoS támadási módszerek kiterjesztése, a támadó akcióját egy időben több végpontról indítja.
A támadás előzményeként a támadó rengeteg gépre „betör” és ezeket a számítógépeket „zombi”-vá alakítja
A támadó jelet ad a „zombiknak”, hogy kezdjék meg a támadást a kiszemelt célpont ellen
A jel hatására az összes „zombi” számítógép elindítja a támadást egyszerre
Számosságuk okán (akár többszázezer támadó gép is előfordulhat) a sok kis adatcsomag hatalmas hálózati forgalmat, adatmennyiséget okoz, amelyre a megtámadott kiszolgáló nem tud érdemben reagálni
Nagyobb nyilvánosságot kapott DoS támadások
DNS infrastruktúra elleni támadások
A DNS infrastruktúra leállása néhány órán belül gyakorlatilag működésképtelenné tenné az Internetet
a rendszer kellően hibatűrő
13 fizikailag is elosztott végpontot tartalmaz amelyek közül 7 egyenként is elosztott rendszer
a DNS teljes leállításához egy időben kellene az összes root szervert leállítani, ami nem egyszerű feladat
Két jelentősebb támadást regisztráltak
2002. október 22-én
egy óra lefolyású volt
13 root szerver közül 9 leállt
komoly fennakadást nem okozott
2007. február 6-án
öt óra hosszat tartott
egyetlen root szerver sem állt le, viszont kettő közülük nagyon komoly terhelést kapott
botnet, amely IP címtartománya az ázsiai régiókhoz kapcsolható
feltételezés: egy dél-koreai csapat hajtotta végre
Dán weboldalak elleni DoS támadások
2006-ban néhány dán újságban Mohamedet gúnyoló karikatúrák jelentek meg
a tiszteletlen karikatúrákat hatalmas felzúdulás fogadta
a képeket a felháborodás ellenére sem tiltották be Dániában

a kialakult helyzetnek köszönhetően elkezdődtek a dán weboldalak elleni támadások
oldalak feltörése, elcsúfítása
különböző túlterhelés
üzenetek, amelyekben szent háborút hirdettek a vallásgyalázók ellen
Orosz-észt konfliktus
2007. április 27-én a tallini szovjet második világháborús emlékművet lebontották és áthelyezték
hamarosan utcai zavargások törtek ki, Oroszország tiltakozott az eset miatt
megindultak a DDoS támadások
számos helyi kormányzati oldal, valamint vezető napilapok és bankok oldalai váltak elérhetetlenné
sok ezek közül közvetlenül visszavezethető volt orosz kormányzati számítógépekre
a támadások közel két hétig tartottak, váltakozó intenzitással.
Összegzés
• Ha egy szuverén állam informatikai infrastruktúráját egy másik állam megtámadja, a megtámadott milyen lépéseket tehet?

• Mekkora károkozás bekövetkeztekor élhet a megtámadott ország a katonai válaszcsapás lehetőségével?

• Mi a támadás megítélése, és mik az ellenlépések egy olyan esetben, amikor a támadó egy harmadik - semleges - ország infrastruktúráját használja a támadás végrehajtásához?

• Mi történik, ha a megtámadott rosszul méri fel a helyzetet, és nem a tényleges támadó ellen teszi meg az általa szükségesnek vélt ellenlépéseket?

Köszönöm a figyelmet!
Hálózati fenyegetettség
Hálózati infrastruktúra
Emberi tulajdonságok
teljesen nyilvános, ismert architektúra
tervezésekor, létrehozásakor nem volt elsődleges szempont a biztonság
a kezdeti (és ma is használt) protokollok sem biztonságosak
próbálják átalakítani, kiegészíteni biztonságot nyújtó funkciókkal
globálisan használtak
ugyanazzal a módszerrel gyakorlatilag a világ összes számítógépe elérhető, támadható
néhány ember számára motiváló, hogy hozzáférjen olyan hálózati adatokhoz, szolgáltatásokhoz, amelyekhez egyébként nem lenne joga
hacker
eredetileg jó szándékú
ma már a rossz szándékú is
Full transcript